Pembuatan Log Azure Key Vault

Setelah membuat satu atau beberapa key vault, Anda mungkin ingin memantau bagaimana dan kapan key vault Anda diakses, dan oleh siapa. Anda dapat melakukan ini dengan mengaktifkan pembuatan log untuk Azure Key Vault, yang menyimpan informasi di akun Azure storage yang Anda sediakan. Untuk panduan langkah demi langkah tentang penyiapan ini, lihat Cara mengaktifkan pembuatan log Key Vault.

Anda dapat mengakses informasi pembuatan log Anda 10 menit (paling lama) setelah operasi key vault. Dalam kebanyakan kasus, akan lebih cepat dari ini. Terserah Anda untuk mengelola log di akun penyimpanan Anda:

  • Gunakan metode kontrol akses Azure standar di akun penyimpanan Anda untuk mengamankan log dengan membatasi siapa yang bisa mengaksesnya.
  • Hapus log yang tidak ingin Anda simpan lagi di akun penyimpanan.

Untuk informasi gambaran umum tentang Key Vault, lihat Apa itu Azure Key Vault?. Untuk informasi tentang di mana Key Vault tersedia, lihat halaman harga. Untuk informasi tentang menggunakan Azure Monitor untuk Key Vault.

Menginterpretasikan log Key Vault Anda

Saat Anda mengaktifkan pembuatan log, kontainer baru yang disebut insights-logs-auditevent secara otomatis dibuat untuk akun penyimpanan yang Anda tentukan. Anda dapat menggunakan akun penyimpanan yang sama ini untuk mengumpulkan log untuk beberapa key vault.

masing-masing blob disimpan sebagai teks, diformat sebagai blob JSON. Mari kita lihat contoh entri log.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Tabel berikut ini mencantumkan nama dan deskripsi bidang:

Nama bidang Deskripsi
time Tanggal dan waktu di UTC.
resourceId ID sumber daya Azure Resource Manager. Untuk log Key Vault, ini selalu menjadi ID sumber daya Key Vault.
operationName Nama operasi, seperti yang didokumentasikan di tabel berikutnya.
operasiVersion Versi REST API yang diminta oleh klien.
category Jenis hasil. Untuk log Key Vault, AuditEvent adalah nilai tunggal yang tersedia.
resultType Hasil permintaan REST API.
resultSignature Status HTTP.
resultDescription Deskripsi tambahan tentang hasilnya, jika tersedia.
durationMs Waktu yang diperlukan untuk melayani permintaan REST API, dalam milidetik. Ini tidak termasuk latensi jaringan, sehingga waktu yang Anda ukur di sisi klien mungkin tidak cocok kali ini.
callerIpAddress Alamat IP klien yang membuat permintaan.
correlationId GUID opsional yang dapat diteruskan klien untuk menghubungkan log pihak klien dengan log sisi layanan (Key Vault).
identity Identitas dari token yang disajikan dalam permintaan REST API. Ini biasanya merupakan "user," "service principal," atau kombinasi "user+appId," seperti dalam kasus permintaan yang merupakan hasil dari cmdlet Azure PowerShell.
properties Informasi yang bervariasi berdasarkan operasi (operationName). Dalam kebanyakan kasus, bidang ini berisi informasi klien (string agen pengguna yang dilewatkan oleh klien), URI permintaan REST API yang tepat, dan kode status HTTP. Selain itu, ketika objek dikembalikan sebagai akibat dari permintaan (misalnya, KeyCreate atau VaultGet), objek juga berisi URI kunci (sebagai id), URI vault, atau URI rahasia.

Nilai bidang operationName dalam format ObjectVerb. Contohnya:

  • Semua operasi key vault memiliki format Vault<action>, seperti VaultGet dan VaultCreate.
  • Semua operasi utama memiliki format Key<action>, seperti KeySign dan KeyList.
  • Semua operasi rahasia memiliki format Secret<action>, seperti SecretGet dan SecretListVersions.

Tabel berikut mencantumkan nilai operationName dan perintah REST API terkait:

Tabel nama operasi

operationName Perintah REST API
Authentication Mengautentikasi melalui titik akhir Azure Active Directory
VaultGet Mendapatkan informasi tentang key vault
VaultPut Membuat atau memperbarui key vault
VaultDelete Menghapus key vault
VaultPatch Memperbarui key vault
VaultList Mencantumkan semua key vault dalam grup sumber daya
VaultPurge Bersihkan vault yang dihapus
VaultRecover Memulihkan vault yang dihapus
VaultGetDeleted Memulihkan vault yang dihapus
VaultListDeleted Mencantumkan vault yang dihapus
VaultAccessPolicyChangedEventGridNotification Kebijakan akses vault mengubah peristiwa yang diterbitkan

Menggunakan log Azure Monitor

Anda dapat menggunakan solusi Key Vault di log Azure Monitor untuk meninjau log Key Vault AuditEvent. Di log Azure Monitor, Anda menggunakan kueri log untuk menganalisis data dan mendapatkan informasi yang Anda butuhkan.

Untuk informasi selengkapnya, termasuk cara menyiapkan ini, lihat Azure Key Vault di Azure Monitor.

Langkah berikutnya